分类导航
LinuxWindowsCentOSUbuntuNginxMemcacheApacheRedisDockerBashAzureTomcatLNMPShell数据结构服务器其他

linux – 使用cn = config说服openldap在Ubuntu上使用SSL

Linux   发布时间:2022-04-01  发布网站:大佬教程  code.js-code.com
大佬教程收集整理的这篇文章主要介绍了linux – 使用cn = config说服openldap在Ubuntu上使用SSL大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。

概述

我根本无法得到这个(与openldap的TLS连接)工作,并希望得到一些帮助. 我在ubuntu 10.04 LTS上有一个工作的openldap服务器,它配置为使用cn = config,我可以找到的大部分信息用于TLS似乎使用较旧的slapd.conf文件:-( 我一直在遵循这里的指示https://Help.ubuntu.com/10.04/serverguide/C/openldap-se
我根本无法得到这个(与openldap的TLS连接)工作,并希望得到一些帮助.

我在ubuntu 10.04 LTS上有一个工作的openldap服务器,它配置为使用cn = config,我可以找到的大部分信息用于TLS似乎使用较旧的slapd.conf文件:-(

我一直在遵循这里的指示https://help.ubuntu.com/10.04/serverguide/C/openldap-server.html加上在这里和其他地方读到的东西 – 这当然可能是问题的一部分,因为我还没有完全理解这一切!

我创建了一个ssl.ldif文件,如下所示;

dn:cn=config

add: olcTLSCipherSuite
olcTLSCipherSuite: TLSV1+RSA:!NULL
add: olcTLSCRLcheck
olcTLSCRLcheck: none
add: olcTLSVerifyClient
olcTLSVerifyClient: never
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ldap_cacert.pem
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/my.domain.com_slapd_cert.pem
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/my.domain.com_slapd_key.pem

然后我使用以下命令行导入它

ldapmodify -x -D cn=admin,dc=mydomain,dc=com -W -f ssl.ldif

我编辑了/ etc / default / slapd,以便它具有以下服务行;

SLAPD_serviCES="ldap:/// ldapi:/// ldaps:///"

每当我进行更改时,我都会使用/etc/init.d/slapd restart重新启动slapd

测试非TLS连接的以下命令行工作正常;

ldapsearch -d 9 -D cn=admin,dc=com -w mypassword \
-b dc=mydomain,dc=com -H "ldap://mydomain.com" "cn=roger*"

但是当我使用这个命令行切换到ldaps时;

ldapsearch -d 9 -D cn=admin,dc=com -H "ldaps://mydomain.com" "cn=roger*"

这就是我得到的;

ldap_url_parse_ext(ldaps://mydomain.com)
ldap_create
ldap_url_parse_ext(ldaps://mydomain.com:636/??basE)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP mydomain.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 127.0.0.1:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: can't connect: A TLS packet with unexpected length was received..
ldap_err2String
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

现在如果我检查netstat -al我可以看到;

tcp        0      0 *:www                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:https                 *:*                     LISTEN
tcp        0      0 *:ldaps                 *:*                     LISTEN
tcp        0      0 *:ldap                  *:*                     LISTEN

我不确定这是否也很重要……我怀疑它是;

openssl s_client -connect mydomain.com:636 -showcerts
CONNECTED(00000003)
916:error:140790E5:SSL routInes:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:

我想我已经把我所有的证书等等了,这是一些检查的结果;

如果我这样做;

certtool -e --infile /etc/ssl/certs/ldap_cacert.pem

我得到链验证输出:已验证.

certtool -e --infile /etc/ssl/certs/mydomain.com_slapd_cert.pem

给“certtool:最后一个证书不是自签名的”,但它看起来不错?

我哪里出错了?当然,让openldap在ubuntu上安全运行应该很容易,并且不需要获得火箭科学的学位!

有任何想法吗?

解决方法

似乎我的ssl.ldif文件的语法不正确.在线跟踪不同的指南后,我将其更改为此(以及重新生成的自签名证书). 
dn: cn=config
changetype: modify
add: olcTLSCipherSuite
olcTLSCipherSuite: NORMAL
-
add: olcTLSCRLcheck
olcTLSCRLcheck: none
-
add: olcTLSVerifyClient
olcTLSVerifyClient: never
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/new-ca-cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/new-ca-key.pem

这还没有完全解决它,但至少现在我可以使用;

openssl s_client -connect mydomain.com:636 -showcerts

实际上得到了一个结果.当我发现更多时,我会更新这个答案.

编辑:

我在http://rogermoffatt.com/2011/08/24/ubuntu-openldap-with-ssltls/写了我的解决方案,可能会帮助其他人.这样的palaver!

大佬总结

以上是大佬教程为你收集整理的linux – 使用cn = config说服openldap在Ubuntu上使用SSL全部内容,希望文章能够帮你解决linux – 使用cn = config说服openldap在Ubuntu上使用SSL所遇到的程序开发问题。

如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。
标签:cnconfiglinuxopenldapsslubuntu使用说服
猜你在找的Linux相关文章
其他相关热搜词更多
phpJavaPython程序员load如何string使用参数jquery开发安装listlinuxiosandroid工具javascriptcap